Data Protection Act 2018
Was versteht man unter dem Data Protection Act? Der Data Protection Act 2018 ist das Datenschutzgesetz, das im Vereinigten Königreich gilt.
Viele Gesetzgebungsorgane auf der ganzen Welt haben Vorschriften zum Datenschutz erlassen. Der Data Protection Act 2018 ist das Äquivalent dazu für das Vereinigte Königreich. Es gilt für alle Unternehmen oder Organisationen, die nicht-öffentliche personenbezogene Daten (NPI) von Einwohnern des Vereinigten Königreichs sammeln.
Wie kam es zum Data Protection Act?
Vor 2018 galt im Vereinigten Königreich das Datenschutzgesetz von 1998. In den darauffolgenden Jahren gab es viele technologische Fortschritte im digitalen Bereich, die sich stark darauf auswirkten, wie Unternehmen personenbezogene Daten sammeln und verarbeiten. Dies führte zu höchst aufsehenerregenden und nicht ganz so schwerwiegenden Verstößen gegen den Schutz personenbezogener Daten, die Unternehmen und Verbraucher gefährdeten.
Länder in Europa, wie das Vereinigte Königreich und Frankreich, begannen Gespräche über die Aktualisierung ihrer Datenschutzregelungen durch die Verabschiedung individueller Vorschriften zur Einhaltung des Datenschutzes. In der Zwischenzeit hat die Europäische Union die General Data Protection Regulation, zu Deutsch Datenschutzgrundverordnung (GDPR/DSGVO) verabschiedet. Im Jahr 2018 stimmte das Vereinigte Königreich im Rahmen des berühmten Brexit-Prozesses für den Austritt aus der EU. Aber das Vereinigte Königreich brauchte ein Gesetz, um sicherzustellen, dass die GDPR-Protokolle weiterhin auf die Einwohner des Vereinigten Königreichs angewendet werden.
Das Ergebnis war die Verabschiedung des Data Protection Act im Jahr 2018. Neben der GDPR hat der Data Protection Act einen ähnlichen Anwendungsbereich wie der Personal Information Protection and Electronic Documents Act (PIPEDA) in Kanada und der California Consumer Privacy Act (CCPA).
Personenbezogene Daten gemäß Gesetzesdefinition
Der Data Protection Act definiert personenbezogene Daten als alle Informationen, die zur vollständigen oder teilweisen Identifizierung einer lebenden Person verwendet werden können.
Daten spezieller Kategorien
Das Gesetz definiert spezielle Datenkategorien als personenbezogene Daten, die sensibel sind und daher ein noch höheres Maß an Privatsphäre und Schutz erfordern. Dazu gehören Daten wie:
- biometrische Daten
- Rasse
- religiöse Überzeugungen
- politische Ansichten
- körperliche und geistige Gesundheit
- Sexualleben und sexuelle Orientierung
Vertrauliche Daten
Vertrauliche Daten sind alle Daten, die zwischen zwei Parteien vertraulich ausgetauscht werden. Sie können persönlicher Natur sein oder nicht. Sofern sie jedoch nicht öffentlich zugänglich sind, sind sie durch den Data Protection Act geschützt.
Unterschiede zwischen dem Data Protection Act und der GDPR
Der Data Protection Act gewährt den gleichen Schutz wie die GDPR für in der EU ansässige Personen. Er übernimmt weitgehend alle Grundsätze der GDPR mit nur wenigen Unterschieden, hauptsächlich zur Klärung länderspezifischer Fragen. Ein wesentlicher Unterschied besteht darin, dass der Data Protection Act unbegrenzte Geldstrafen für Unternehmen und Einzelpersonen vorsieht, die auf anonymisierte Daten zugreifen und versuchen, diese zu identifizieren.
Ein weiterer Unterschied besteht darin, dass der Data Protection Act weiter geht und bestimmte Ausnahmen vorsieht, in denen personenbezogene Daten ohne Zustimmung des Nutzers verarbeitet werden können. Diese betreffen vor allem Angelegenheiten, die mit der nationalen Sicherheit, der Einwanderung und den Nachrichtendiensten zu tun haben.
Ein anderer bemerkenswerter Unterschied ist das Alter für die gültige Zustimmung zur Verarbeitung personenbezogener Daten. In der GDPR der EU liegt das Alter bei 16 Jahren, während es im Data Protection Act bei 13 Jahren liegt.
Wie man die Vorgaben des Data Protection Act erfüllt
Die vielleicht wichtigste Frage für Unternehmen, die Daten von Einwohnern des Vereinigten Königreichs sammeln, ist, wie sie alle Bestimmungen des Data Protection Act einhalten können.
Wie bei anderen Datenschutzgesetzen auf der ganzen Welt ist es nicht einfach, die Vorschriften einzuhalten, vor allem dann nicht, wenn die Verfahren eines Unternehmens in Bezug auf das Cybersecurity-Risikomanagement nicht hieb- und stichfest sind. Im Folgenden sind einige der wichtigsten Anforderungen des Data Protection Act aufgeführt:
Datenschutzbestimmungen veröffentlichen
Um die Einhaltung der Vorschriften zu gewährleisten, ist eine Datenschutzrichtlinie, die den Nutzern eines Unternehmens öffentlich zugänglich gemacht wird, zwingend erforderlich. Sie sollte in einfacher Sprache die Datenerhebung und -verarbeitung beschreiben.
Staatliche Gesetzesgrundlage für die Verarbeitung von personenbezogenen Daten
Gemäß dem Data Protection Act gibt es mehrere gesetzliche Voraussetzungen für die Verarbeitung personenbezogener Daten. Diese sind dieselben wie in der GDPR:
- Zustimmung der Verbraucher (der häufigste Grund, wenn Unternehmen personenbezogene Daten verarbeiten)
- Erfüllung eines Vertrags
- gesetzliche Verpflichtung
- öffentliches Interesse
- legitimes Interesse
- lebenswichtiges Interesse
Der geschäftliche Grund für die Erhebung und Verarbeitung personenbezogener Daten muss unter eine dieser Grundlagen fallen, um dem Gesetz zu entsprechen.
Zustimmung zur Erfassung und Verarbeitung
Nachdem eine rechtliche Grundlage vorhanden ist, besteht der nächste Schritt darin, die Zustimmung des Nutzers zur Erhebung und Verarbeitung seiner Daten einzuholen. Damit eine Einwilligung im Vereinigten Königreich rechtmäßig ist, muss sie folgendermaßen erfolgen:
- freiwillig
- ausdrücklich
- eindeutig
- informiert
- dokumentiert
Aus diesem Grund müssen die Unternehmen den Nutzern die bereits erwähnten Rechte mitteilen und diese einhalten.
Ernennung eines Datenschutzbeauftragten
Gemäß dem Data Protection Act müssen Sie einen Datenschutzbeauftragten ernennen, wenn Sie eine öffentliche Einrichtung sind oder Ihr Unternehmen eine groß angelegte systematische Erfassung und Verarbeitung personenbezogener Daten erfordert.
Der Name und die Kontaktdaten des Datenschutzbeauftragten müssen an prominenter Stelle in Ihrer Datenschutzerklärung angegeben werden.
Protokolle für Datenschutzverletzungen erstellen
Wenn es zu einem Datenschutzverstoß kommt, bei dem personenbezogene Daten von Einwohnern des Vereinigten Königreichs an die Öffentlichkeit gelangen, sind Unternehmen laut Datenschutzgesetz verpflichtet, das Information Commissioner’s Office im Vereinigten Königreich innerhalb von 72 Stunden zu informieren. Auch die betroffenen Personen müssen über den Verstoß und die zum Schutz ihrer Daten ergriffenen Maßnahmen informiert werden.
Datenerfassung und -aufbewahrung
Um die Einhaltung des Data Protection Act zu gewährleisten, ist es für Unternehmen unerlässlich, die Erhebung und Speicherung von Daten auf die notwendigsten Gründe zu beschränken. Die Aufbewahrung ungenutzter personenbezogener Daten oder deren Verarbeitung über die ursprüngliche Zustimmung hinaus stellt einen Verstoß gegen das Gesetz dar, der zu einer Geldstrafe führen kann.
Datenschutz nach Plan
Datenschutz von Anfang an ist ein wesentlicher Bestandteil aller Datenschutzgesetze. Dabei handelt es sich um eine Cybersicherheitsrichtlinie, wonach alle Prozesse, Systeme, Infrastrukturen und Personen, die mit personenbezogenen Daten zu tun haben, den Datenschutz als oberste Priorität betrachten sollten.
Die sieben Grundsätze des Data Protection Act
Für Unternehmen, die personenbezogene Daten von Einwohnern des Vereinigten Königreichs verarbeiten, ist das Verständnis der sieben Grundsätze des Data Protection Act der Schlüssel zur Einhaltung dieses Gesetzes. Diese Grundsätze sollten die Leitlinien und das Fundament eines Unternehmens bei der Erfassung und Verarbeitung aller personenbezogenen Daten sein.
Ein Blick auf diese Grundsätze zeigt, dass sie sich über mehrere Datenschutzgesetze und Rechtsordnungen erstrecken. Diese Grundsätze gelten weitgehend für GDPR, PIPEDA, CCPA, den Health Insurance Portability and Accountability Act (HIPAA), den Debt Collection Improvement Act (DCIA) und Japans Act on Protection of Personal Information (APPI).
Rechtmäßigkeit, Fairness und Transparenz
Dieser Grundsatz besagt, dass die Verwendung personenbezogener Daten rechtmäßig und fair sein muss und dass die Nutzer verstehen müssen, wozu sie ihre Zustimmung geben. Der Data Protection Act schreibt vor, dass Unternehmen in ihren Richtlinien zum Umgang mit Daten eine klare, eindeutige und genaue Sprache verwenden.
Beschränkung des Verwendungszweckes
Dieser Grundsatz besagt, dass personenbezogene Daten nur für den spezifischen Zweck verwendet werden dürfen, für den sie bestimmt sind und über den der Nutzer ordnungsgemäß informiert wurde und Bescheid weiß. Der Grundsatz soll die Fälle verringern, in denen personenbezogene Daten, die für einen bestimmten Zweck erhoben wurden, unrechtmäßig auf andere Weise außerhalb des ursprünglichen Zwecks verarbeitet werden.
Datenminimierung
Dieser Grundsatz schränkt die Möglichkeit eines Unternehmens ein, Daten in einem Umfang zu erheben, der über ihre rechtmäßige Verwendung hinausgeht. Er besagt, dass Organisationen Daten sammeln müssen, die für den beabsichtigten Zweck relevant und begrenzt sind.
Genauigkeit
Dies ist ein bekannter Grundsatz in den meisten Datenschutzgesetzen. Es bedeutet einfach, dass alle personenbezogenen Daten korrekt sein müssen und Unternehmen dafür verantwortlich sind, ungenaue Daten auf Anfrage eines Nutzers zu aktualisieren.
Limitierung der Speicherung
Unternehmen sollten personenbezogene Daten nicht unbegrenzt aufbewahren, es sei denn, dies ist gerechtfertigt.
Integrität und Vertraulichkeit
Vielleicht ist dies der Grundsatz, um den die meisten Unternehmen und Organisationen ringen, wenn es zu Verletzungen des Schutzes personenbezogener Daten kommt. Gemäß diesem Grundsatz müssen geeignete Maßnahmen ergriffen werden, um personenbezogene Daten durch den Einsatz von physischen und digitalen Kontrollen zu schützen.
Nachweisbarkeit
Der letzte Grundsatz verlangt von Unternehmen, ordnungsgemäße Aufzeichnungen zu führen, um die Einhaltung des Datenschutzgesetzes nachzuweisen.
Individuelle Rechte der Nutzer gemäß dem Data Protection Act
Zusätzlich zu den sieben Grundsätzen werden im Data Protection Act die individuellen Rechte der Bürger aufgeführt, die von den Unternehmen gewahrt werden müssen. Die Grundsätze und die entsprechenden Rechte bilden den Kern des Data Protection Act. Unternehmen müssen die folgenden Punkte beachten, um die Bestimmungen des Data Protection Act einzuhalten:
Recht auf Information
Die Nutzer haben das Recht, darüber informiert zu werden, wenn ihre personenbezogenen Daten erhoben, verarbeitet, verwendet und weitergegeben werden. Unternehmen sind dafür verantwortlich, den beabsichtigten Zweck der Speicherung und Verarbeitung dieser Daten mitzuteilen und eine informierte Zustimmung einzuholen.
Recht auf Auskunft
Die Nutzer haben das Recht, Zugang zu allen ihren Daten zu verlangen, die sich im Besitz eines Unternehmens befinden.
Recht auf Berichtigung
Dies entspricht dem Grundsatz der Richtigkeit, den wir im vorherigen Abschnitt erörtert haben. Die Nutzer oder betroffenen Personen im Sinne des Data Protection Act haben das Recht, die Berichtigung ihrer personenbezogenen Daten zu verlangen.
Recht auf Löschung
Dabei handelt es sich um das berühmte Recht auf Vergessenwerden, gegen das viele große Unternehmen gerichtlich vorgegangen sind. Es gibt betroffenen Personen das Recht, die Löschung ihrer personenbezogenen Daten zu verlangen. Dies gilt, wenn die betroffene Person der Meinung ist, dass es keinen Grund für ein Unternehmen gibt, ihre Daten weiterhin zu speichern und zu verarbeiten.
Das Recht auf Einschränkung der Verarbeitung
Die betroffenen Personen haben das Recht, die Verarbeitung ihrer personenbezogenen Daten zu blockieren oder zu unterbinden, wenn die Daten unrichtig sind oder ein rechtlicher Einspruch vorliegt.
Recht auf Datenübertragbarkeit
Die Nutzer haben ein Recht darauf, dass ihre personenbezogenen Daten in einem Format zugänglich sind, das die Wiederverwendung dieser Daten ermöglicht, ohne dass die Daten immer wieder neu übermittelt werden müssen.
Recht auf Widerspruch
Unter bestimmten Umständen haben Personen das Recht, gegen die Verarbeitung ihrer personenbezogenen Daten Widerspruch einzulegen. Die Unternehmen sind verpflichtet, die betroffenen Personen über dieses Recht zu informieren.
Recht auf Widerspruch gegen automatisierte Entscheidungen und Profilerstellung
Einzelpersonen haben das Recht, automatisierten Entscheidungen zu widersprechen, wenn es um ihre personenbezogenen Daten und die Erstellung von Profilen in einem automatisierten Verfahren geht. Sie haben das Recht, eine Überprüfung durch einen Menschen zu verlangen.
Sanktionen bei Nichteinhaltung der Vorschriften
Der Data Protection Act sieht für Verstöße eine Höchststrafe von 17,5 Millionen GBP oder 4 % des weltweiten Umsatzes im vorangegangenen Geschäftsjahr für die schwersten Verstöße vor. Für das Versäumnis, das U.K. Information Commissioner’s Office über eine Datenschutzverletzung und andere Verstöße zu informieren, beträgt die Höchststrafe 8,7 Millionen GBP oder 2 % des weltweiten Umsatzes eines Unternehmens. Andere im Data Protection Act festgelegte Strafen umfassen ein vorübergehendes oder dauerhaftes Verbot der Datenerhebung und -verarbeitung.
Einhaltung der Vorschriften für Kommunikation mit sensiblen Inhalten
Unternehmen benötigen einen umfassenden Ansatz zum Schutz der Privatsphäre und zur Einhaltung von Vorschriften bei der Kommunikation mit sensiblen Inhalten. Gemäß den Bestimmungen des Data Protection Act müssen Unternehmen die Kommunikation privater personenbezogener Daten – sowohl intern als auch extern – nachverfolgen, kontrollieren und schützen und in der Lage sein, einen Audit-Trail darüber zu erstellen, wie die Daten bei der Übertragung und im ruhenden Zustand gesichert werden, wer auf sie zugreift, mit wem sie geteilt werden und welche Geräte verwendet werden.
Da Unternehmen häufig mehrere Kommunikationskanäle wie E-Mail, File Sharing, File Transfer, Managed File Transfer, Web-Formulare und Application Programming Interfaces (APIs) nutzen, ist ein einheitlicher Ansatz erforderlich. Die meisten Unternehmen verwenden jedoch mehr als vier Tools für die Verwaltung der Kommunikation mit sensiblen Inhalten, was zu Komplexität und größeren Risiken führt.
Die Kiteworks-Plattform ermöglicht es Unternehmen, Private Content Networks zu erstellen, die für die Governance, die Compliance und den Schutz der Kommunikation mit sensiblen Inhalten eingesetzt werden. Vereinbaren Sie einen Termin für eine individuelle Demo der Kiteworks-Plattform, um zu erfahren, wie sie personenbezogene Daten konsolidiert, nachverfolgt, kontrolliert und schützt und Unternehmen bei der Einhaltung des Data Protection Act und anderer gesetzlicher Vorgaben unterstützt.
–>